Centric, PinkRoccade en de bewerkersovereenkomst


Een bewerkersovereenkomst (BWO). Ook wel de schriftelijke overeenkomst tussen de verantwoordelijke en de bewerker, waarin afspraken worden vastgelegd over hoe de bewerker met de persoonsgegevens van de verantwoordelijke dient om te gaan. De bewerkersovereenkomst vormt een belangrijk onderdeel binnen de informatiebeveiliging van de gemeente. Maar wat moet er in deze overeenkomst staan? Vanuit de Baseline Informatiebeveiliging Gemeenten (BIG),

is het de wens om concreet te specificeren welke maatregelen de bewerker dient te implementeren/na te leven op het gebied van informatiebeveiliging. In de praktijk zijn er echter verschillende varianten uitgewerkt. Zo hebben Centric en PinkRoccade in overleg met de gebruikersverenigingen en de IBD beide een format opgesteld en heeft de IBD zelf ook een BWO opgesteld. Maar welke variant is nu het meest geschikt?

Uitgangspunten

Om de veilige verwerking van persoonsgegevens te waarborgen dienen de verantwoordelijke en de bewerker duidelijke afspraken te maken wat betreft de taken en de verplichtingen van de bewerker richting de verantwoordelijke. De manier waarop dit wordt afgesproken staat niet vast, maar er is wel in de Wet bescherming persoonsgegevens beschreven wat er minimaal in de bewerkersovereenkomst dient te staan. De IBD heeft onlangs een interne notitie geschreven, waarin zij adviseert om in ieder geval afspraken te maken over de volgende zaken:

  1. De waarborgen die de leverancier biedt ten aanzien van technische en organisatorische maatregelen en de manier waarop de gemeente dit kan controleren.
  2. De wijze waarop de gemeente wordt geïnformeerd bij een beveiligingsincident.
  3. De aansprakelijkheid bij schade doordat in strijd met de wet wordt gehandeld.
  4. De mate waarin de dienstverlening voldoet aan de wettelijke eisen.

Punt drie en vier worden doorgaans goed beschreven in de verschillende BWO’s. De eerste twee punten worden daarentegen nogal verschillend verwoord als je kijkt naar de drie formats van de IBD, Centric en PinkRoccade.

Zoek de verschillen

Het grootste verschil tussen de BWO’s zit in de mate van detail. De IBD heeft een model opgesteld dat erg volledig en uitgebreid is. Zo zijn onder andere alle relevante BIG-maatregelen opgenomen in de bijlage. Zoals de IBD ook aangeeft is dit uiteraard het ‘ideaalplaatje’. Kortom wil je het maximale eruit halen dan kun je al deze maatregelen hanteren, maar je hebt als gemeente ook alle ruimte om hiervan af te wijken, mits je maar voldoet aan de minimale eisen, namelijk bovenstaande vier punten. De formats van Centric en PinkRoccade zijn daarentegen een stuk minder uitgebreid. Zo wordt in de BWO van Centric niet nader toegelicht wat er wordt bedoeld met ‘passende technische en organisatorische maatregelen’. Tevens wordt de wijze waarop de gemeente dient te worden geïnformeerd bij een beveiligingsincident per BWO verschillend beschreven.

In alle drie de formats staat dat de bewerker de verantwoordelijke moet informeren over beveiligingsincidenten en (mogelijke) datalekken. Echter wordt alleen in het format van de IBD beschreven dat dit binnen 24 uur na de eerste ontdekking dient te gebeuren. Hiernaast beschrijft de IBD dat de bewerker een gedetailleerd logboek moet bijhouden van alle inbreuken op de beveiliging. Evenals de maatregelen die in het vervolg op dergelijke inbreuken zijn genomen, waar bewerker op het eerste verzoek van de verantwoordelijke inzage in geeft. Dit staat niet in de andere twee formats opgenomen.

Tot slot beschrijven Centric en PinkRoccade enkel dat de partijen elkaar volledige medewerking dienen te verlenen bij een noodzakelijke melding richting de Autoriteit Persoonsgegevens (AP) en indien nodig aan de betrokkenen. De IBD gaat hier nog dieper op in en vermeld dat dit op zo kort mogelijke termijn dient te gebeuren.  Zijn er overeenkomsten te vinden in de verschillende formats? Jazeker. In alle overeenkomsten staat vermeld dat de bewerker het ‘doen van meldingen aan de toezichthouder(s)’ overlaat aan de verantwoordelijke.

Assurance en certificering

Tot slot, is het belangrijk dat in de BWO certificering en assurance is opgenomen. Certificering betreft het door een onafhankelijke, geaccrediteerde partij laten vaststellen of het managementsysteem van de betreffende organisatie voldoet aan alle eisen op een bepaald gebied. Een voorbeeld hiervan is de ISO27001. Het doel van assurance is om derde partijen, die vertrouwen op een dienst of product, de zekerheid te bieden dat die voldoet aan een overeengekomen normenkader. In dit geval is dat normenkader de BIG. De BWO van de IBD is daarin dus wel compleet (zie bijlage 2). Maar de vraag is of je als gemeente dit ‘ideaalplaatje’ wilt hanteren. Zoals de IBD zelf ook aangeeft kunnen de maatregelen uit de BIG ook worden aangepast.

Kortom; je moet als gemeente het lef hebben de bewerkersovereenkomst (IBD BWO) naar eigen smaak, binnen de kaders van bovenstaande vier punten, aan te passen en daarbij het liefst te differentiëren tussen verschillende typen bewerkers.

Renco Schoemaker

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Bijeenkomsten

Alleen voor CISO’s van de (lokale) overheid!

Bekijk wanneer de volgende bijeenkomst is.

Alleen voor Privacy Officers van de (lokale) overheid!

Bekijk wanneer de volgende bijeenkomst is.

Meer blogs lezen

Hoe bescherm ik mij als gemeente tegen ransomware-aanvallen?

Het kan gebeuren dat je als gemeente urenlang (of in het ergste geval dagen) niet kunt werken vanwege ransomware. In deze blog geef ik tips voor preventieve maatregelen die je kan treffen om besmetting te voorkomen. Toch getroffen? Dan vind je hier ook een handig stappenplan om de schade zoveel mogelijk te beperken.

Agenda Digitale Veiligheid 2020-2024: oude wijn in nieuwe zakken?

In februari publiceerde de VNG de Agenda Digitale Veiligheid 2020-2024 voor een veilige (digitale) gemeente. Biedt deze nieuwe agenda daadwerkelijk een nieuw handelingsperspectief? Of is het oude wijn in nieuwe zakken…

Tijdig betrokken worden als FG

In het kader van de dag van de FG een blog speciaal voor de Functionaris Gegevensbescherming. Formeel is meestal wel vastgelegd dat je als FG ‘tijdig en behoorlijk’ betrokken moet worden, maar in de praktijk word je nog weleens vanuit de flanken verrast. Herkenbaar? Lees dan snel verder!

Update: CISO, Privacy Officer en FG; wie doet en mag wat?

Activiteiten op het gebied van informatiebeveiliging en gegevensbescherming binnen gemeenten behoren te worden gecoördineerd door de CISO, de Privacy Officer en de FG. Maar wie is waarvoor verantwoordelijk? En hoe verhouden deze functies zich tot elkaar?

Praktische (privacy)tips voor thuis én op het werk

Hoe zorg je ervoor dat je medewerkers zowel thuis als op locatie veilig werken én veilig zijn? Zonder afbreuk te doen aan het fundamentele recht op privacy? Dat zijn de vragen die ik in deze blog ga behandelen.

Datalek melden: Hoeveel tijd heb je eigenlijk?

Als een datalek is ontstaan bij een verwerker, wanneer start dan de 72-uurstermijn voor het melden bij de toezichthoudende autoriteit? In onze nieuwe blog onderzoeken we twee visies.